Tijekom godina, programeri zlonamjernog softvera i stručnjaci za kibernetičku sigurnost ratovali su u pokušaju da se međusobno nadograde. Nedavno je zajednica programera za zlonamjerni softver implementirala novu strategiju otkrivanja izbjegavanja: provjeru razlučivosti zaslona.
Istražimo zašto je rezolucija zaslona važna za zlonamjerni softver i što to znači za vas.
Zašto se malware brine o razlučivosti zaslona
Da bismo saznali zašto se zlonamjerni softver brine o razlučivosti zaslona, moramo pogledati jednog od svojih najgorih neprijatelja; virtualni stroj Što je virtualni stroj? Sve što trebate znatiVirtualni strojevi omogućuju vam pokretanje drugih operativnih sustava na vašem trenutnom računalu. Evo što biste trebali znati o njima. Čitaj više .
Virtualni strojevi koristan su alat istraživačima virusa. Oni djeluju kao "računalo unutar računala", tako da možete koristiti drugi operativni sustav bez potrebe za novim računalom.
Na primjer, ako imate računalo sa sustavom Windows 10, ali želite koristiti Linux, unutar Windowsa 10 možete postaviti virtualni stroj za pokretanje Linuxa. Ponašat će se poput Linux računala, ali pokreće se u prozoru u sustavu Windows 10.
Virtualni strojevi vrlo su korisni istraživačima virusa jer djeluju kao zamka leta digitalnih venera. Ako istraživač vjeruje da program ili datoteka sadrži virus, mogu ga testirati tako da ga pokrenu u virtualnom stroju.
Ako datoteka sadrži virus, počet će zaraziti virtualni stroj. Budući da je virtualni stroj postavljen poput stvarnog, virus vjeruje da inficira pravi PC, a ne virtualni. Kao takav, on počinje isporučivati svoj teret i nanosi štetu virtualnom stroju. Srećom, niti jedno oštećenje koje virus ne nanese na glavno računalo; ona utječe samo na virtualnu.
Nakon što virus pokrene igru, istraživač može proučiti kako to radi, a zatim resetirati virtualni stroj. Zatim uzimaju ono što su naučili iz virtualnog stroja i koriste ga za izradu definicija virusa za zaštitu stvarnih ljudi ljudi.
Zbog toga su virtualni strojevi okolica programera zlonamjernog softvera. Ako netko posumnja da program ima zlonamjerni softver, može ga pokrenuti na virtualnom stroju i očistiti ako je loše.
Gdje dolazi do rezolucije zaslona?
Postoji jedna mana ove metode testiranja aplikacija. Kada istraživač zlonamjernog softvera stvori virtualni stroj, ne zanima ih sve dodatne značajke. Sve što trebaju za testiranje na virus je virtualni stroj koji djeluje kao normalno računalo - sve ostalo je neobavezno.
Kao rezultat toga, istraživači ponekad ne instaliraju softver gosta VM-a. Ovaj softver omogućuje dodatne značajke kao što su veće razlučivosti zaslona, koje istraživaču zapravo nisu potrebne. Ako korisnik ne koristi gostujući softver, VM korisniku obično zaključava jednu od dvije niske rezolucije: 800 × 600 i 1024 × 768.
Ove su dvije rezolucije važne programeru zlonamjernog softvera. Računala i prijenosna računala modernog doba obično nemaju zaslone po toj rezoluciji; vrlo je zastario
Zapravo možete vidjeti koliko je zastario StatCounter, koji prikuplja informacije o najčešće korištenim rezolucijama. U vrijeme pisanja, rezolucije su obično veće ili manje od gore navedenih primjera VM-a.
S jedne strane spektra imate standardnu rezoluciju 1366 × 768 za prijenosna računala i 1920 × 1080 za PC monitore. S druge strane, naći ćete maleni zaslone od 360 × 640 koji su u upotrebi - to su pametni telefoni.
800 × 600 i 1024 × 768 se uopće ne pojavljuju. Reverza potonjeg, 768 × 1024, postoji; ovo je iPad rezolucija. Međutim, čak i to zauzima samo 2,6 posto, što znači da 97,4 posto uređaja koristi različite rezolucije.
Kako zlonamjerni softver upotrebljava ove podatke za izbjegavanje VM-ova
Kad takav zlonamjerni softver sleti na host računalo i napominje da se pokreće ili 800 × 600 ili 1024 × 768, ili na vrlo zastarjelom hardveru ili - što je vjerojatnije, gledaju ih u virtualnom mašina.
Ako virus djeluje pod tim uvjetima, igra će dati odmah pod oči istraživača virusa. Kao takav, u cilju zaštite svojih tajni, zlonamjerni softver se sam zaustavlja i ne nanosi štetu.
Iz perspektive istraživača, program se izvodio i nije zarazio računalo, tako da mora biti dobroćudan. Tada mogu dodijeliti lažno negativno izvješće za program, dopuštajući zlonamjernom softveru da putuje dalje prije nego što konačno bude uhvaćen.
Primjeri provjere rezolucije zlonamjernog softvera u stvarnom svijetu
Trickbot je odličan primjer ove taktike u divljini. Istraživači su uspjeli provaliti u nedavni rod TrickBotovog koda i analizirali kako to funkcionira. Jedan korisnik Twittera poznat kao Mak (@maciekkotowicz) pronašao je djelić koda unutar TrickBota koji skenira u rezoluciji 800 × 600 ili 1024 × 768.
danas je #Trickbot utovarivači s razlučivosti zaslona #antivm trik, ako imate 800 × 600 ili 1024 × 768 razlučivosti - sigurni ste! ;] cc @VK_Intel@James_inthe_box@JAMESWT_MHT@abuse_chpic.twitter.com/mbGE5IwLH0
- mak (@maciekkotowicz) 30. lipnja 2020
U ovom komadu koda, virus uzima X i Y vrijednosti rezolucije računala, a zatim ih kombinira da vide rezultat. Ako je rezultat jednak ili 800 × 600 ili 1024 × 768, kod vraća broj 0. To govori zlonamjernom softveru da se prikazuje u VM-u.
Jednom kada zlonamjerni softver zna da se nalazi unutar virtualnog stroja, on se samouništava kako bi izbjegao otkrivanje. Kao rezultat, svatko tko provjerava viruse u virtualnom stroju pogrešno će to smatrati sigurnim.
Što ova taktika znači za vas
Naravno, to znači da ako ste koristili rezoluciju 1024 × 768 ili 800 × 600, imat ćete zaštitu od nekih vrsta zlonamjernog softvera. Čim stignu, zabilježit će vašu razlučivost i detoksirati se prije nego što naprave bilo kakvu štetu. Međutim, ono što steknete u zaštiti, izgubit ćete zdravom razumom koristeći računalo s tako skučenom razlučivošću!
Kao takav, vaš najbolji kladiti se protiv ove nove vrste zlonamjernog softvera je ažurirati svoj antivirus. Sada kada je ovaj trik protiv VM-a javno poznavanje, malo je vjerojatno da će se zaštitne kompanije visokog ranga ponovno zavaravati.
Međutim, ovo je važno imati na umu ako imate tendenciju testiranja datoteka na vlastitim virtualnim računalima. Ako vaš VM radi na 800 × 600 ili 1024 × 768, vrijedi ga postaviti na popularniju razlučivost. Ako nemate, ne možete biti sigurni je li u datoteku koju testirate instalirana mjera protiv VM.
Ostati sigurni od podmuklih virusa
Budući da cyber-sigurnost postaje velika industrija kakva jest, programeri zlonamjernog softvera moraju se prilagoditi da ostanu korak ispred. Novi sojevi zlonamjernog softvera izbjeći će snimanje ako se pokrenu u nepripremljenom VM-u, pa ako koristite VM-ove za testiranje virusa, imajte to na umu.
Najbolji je antivirus zdrav razum, pa zašto ne naučiti jednostavni načini da nikada ne dobijete virus 10 lakih načina da nikad ne dobijete virusUz malo osnovne obuke, možete u potpunosti izbjeći problem virusa i zlonamjernog softvera na računalima i mobilnim uređajima. Sada se možete smiriti i uživati u internetu! Čitaj više ?
Otkrivanje partnera Kupnjom proizvoda koje preporučamo pomažete u održavanju web stranice. Čitaj više.
Diplomirani profesor informatike, dubok strast za svim stvarima sigurnosti. Nakon rada u studiju za indie igre pronašao je svoju strast za pisanjem i odlučio je upotrijebiti svoj set vještina za pisanje o svim tehnološkim stvarima.
